WORKSHOP 


Rootkits opsporen en verwijderen 


Dozen van Pandora 


Met een rootkit kan een hacker ongestoord zijn gang 
gaan op jouw computer. Hij steelt je gegevens, zet je 
pc in om spam te versturen, en dat alles zonder dat je 
virusscanner een kik geeft. Tijd om een professional in 
te zetten! Á\_ FREDERIK MEURIS 


Fr 


WAT DOEN WE? 
WAARMEE? 


HOELANG? 


MOEILIJKHEID? 


N Re zijn een smerige vorm van malware. 
Een rootkit is bij wijze van spreken een doos 
met allerlei verschillende tooltjes die hackers goed 
van pas komen: hij kan, bijvoorbeeld een tooltje be- 
vatten om al je persoonlijke gegevens te achterhalen, 
virussen te verspreiden en spam te versturen. De 
belangrijkste eigenschap van rootkits is dat ze zich- 
zelf én die tooltjes uitstekend verborgen kunnen 
houden voor jou en je bondgenoten in de strijd tegen 
malware. Een rootkit trekt als het ware een gordijn 
op, waarachter de hacker ongestoord kan werken. 
Traditionele antimalware- of antiviruspakketten kun- 
nen rootkits met andere woorden niet detecteren. 


Een rootkit nestelt zich in de diepste regionen van 
je computer en kan van daaruit zowat alles onderscheppen en aanpas- 
sen. Het gevaar dat dit met zich meebrengt, is dan ook niet te onder- 
schatten. Een rootkit houdt ook de deur naar je systeem open, zodat 
de hacker altijd binnenkan. 


Een streepje geschiedenis 


Vroeger werden rootkits voornamelijk gebruikt door hackers om hun 
sporen te wissen na een computerinbraak. Tegenwoordig dienen ze 
vooral om de aanwezigheid van malware te maskeren en de toegang tot 


Rootkits zetten de poort wagenwijd open voor wormen, virussen en andere 
malware. 
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de pc open te houden, zodat hackers ongemerkt hun gang kunnen (blij- 
ven) gaan. Virusscanners en antispywareprogramma’s kunnen rootkits 
meestal niet opsporen, omdat ze zo diep in je systeem genesteld zitten. 
De naam rootkit heeft zijn oorsprong in de UNIX-systemen van de jaren 
80. De root van een UNIX-systeem kan je vergelijken met de systeem- 
beheerder op een Windows-pc. Toen hackers erin slaagden UNIX-syste- 
men binnen te dringen en een tooltje achter te laten dat hen telkens 
weer rootrechten gaf, was de rootkit geboren. 


Sony 


Rootkits kregen wat meer bekendheid in het najaar van 2005. Be- 
paalde muziek-cd's uit de stal van Sony installeerden ongemerkt een 
exemplaar op de computer van kopers die hun cd’s op hun pc wilden 
beluisteren. Deze verregaande vorm van kopieerbeveiliging was niet 
alleen illegaal, de software bleek ook nog eens lek te zijn, zodat de 
besmette computers kwetsbaar waren voor malware-aanvallen. Boven- 
dien had Sony zich niet goed ingedekt: de rootkit werd ongemerkt 
geïnstalleerd nog vóór de gebruikers de gebruiksovereenkomst te zien 
kregen. Maar zelfs in die overeenkomst werd er met geen woord over 
gerept. Toen de feiten aan het licht kwamen, werden er dan ook heel 
wat rechtszaken aangespannen tegen het bedrijf. Sony moest enkele 
miljoenen dollars aan schadevergoedingen ophoesten. 

Toch heeft het bedrijf niet helemaal geleerd uit de zaak, want dit jaar 
werd een soortgelijk probleem aangetroffen op Sony's MicroVault usb- 
sticks. De sticks werken met vingerafdrukherkenning, en de bedoeling 
was om bestanden te verbergen die te maken hadden met de vinger- 
afdrukverificatie. Jammer genoeg was er blijkbaar niet nagedacht over 
de veiligheid van de gebruiker, want hackers konden de rootkit zonder 
problemen aanwenden voor hun eigen doel. De impact van dit probleem 
was echter niet zo groot als in 2005. 


STAP 1 / DOWNLOADEN 


De mensen van Grisoft hebben met AVG Anti-Virus een meer dan be- 
hoorlijke virusscanner in hun portefeuille zitten, die nog gratis is ook. 
Sinds een tijdje heeft dat antiviruspakket ook een collega die rootkits 
kan opsporen en verwijderen, onder de weinig tot de verbeelding spre- 
kende naam AVG Anti-Rootkit. Je kan het pakket downloaden door te 
surfen naar www.grisoft.com. Daar klik je in de blauwe menubalk op 


€» Important notice 

AVG Anti-Rootkit Free protects you against a certain kind of threat: Rootkits. To be protected in realtime 
against all kind of threats that could harm your computer it is recommended to have a look at AVGs 
fully integrated solutions 


Feature AVG Internet Security AVG Anti-Roatkit Free 
Anti-Virus v 

Anti-Spyware v 

Anti-Rootkit only 

Anti-Spam v 

Firewall v 

Price 52.95 USD Free 

& Download & Download 


click here to view details and compatibility vie 


AVG laat geen mogelijkheid onbenut om je te wijzen op het bestaan van hun 
betalende software. 


Propucrs, waarna je helemaal naar beneden scrollt. Onder de hoofding 
Free SecuriTy tref je daar zowel de virusscanner als AVG Anti-Rootkit aan. 
Klik op AVG Anti-Rootkit Free Epirron en op de volgende pagina kies je 
voor de oranje DownLoap-link. Je wordt opnieuw omgeleid naar een an- 
dere pagina, waar je weer een stukje naar beneden moet scrollen en op 
de rechtse oranje DownLoap-knop moet duwen, onder het woordje Free 
(zie afbeelding 1). Na de laatste omleiding klik je op AVG Anrr-Roorkir 
Free, en het binnenhalen kan eindelijk beginnen. Het installatiebestand 
neemt nog geen halve MB in beslag, dus dat is zo gepiept. 


STAP 2 / INSTALLEREN 


Om de installatiewizard wakker te schudden, dubbelklik je op het 
binnengehaalde bestand AvGARKT-SETUP-1.1.0.42.ExE. Druk op Nexr en 
kies vervolgens voor de Norma INTERFACE. Slechtziende en blinde 
mensen die gebruik maken van screenreaders kunnen voor een aan 
hun noden geoptimaliseerde versie kiezen (zie afbeelding 2). Druk op 
Next en I Acree en kies de map waar je het programma wil installeren. 
Druk nogmaals op Next, kies een naam voor de map in het Start-menu 
en klik op InsrauL. Na een paar seconden is de installatie voorbij. Voor 
je het programma kan gebruiken, moet je de computer wel her- 
starten. Wil je dat meteen doen, dan klik je gewoon op Finisn. Doe je 
het liever zelf, dan selecteer je eerst het bolletje voor I want To 
MANUALLY REBOOT LATER. 


P_ AVG Anti-Rootkit Free Setup 


Interface 
Please select which interface you want to use. 


© Normal interface ©) Low graphics interface 
(recommended) (optimized for screen readers) 


The low graphics interface is generally only recommended if you 
have troubles with the normal interface, 


Mensen die een screenreader gebruiken, kunnen opteren voor een aange- 
paste lay-out. 


STAP 3 / TITEL 


Na het herstarten van je pc start je AVG Anti-Rootkit met de snelkop- 
peling die zich op je bureaublad genesteld heeft. De interface is vrij 
rechttoe rechtaan. Bovenaan zie je drie tabbladen: SEARCH FOR ROOTKITS, 
LEARN MORE en Asour & Uppare. In het eerste kan je uiteraard rootkits 
zoeken en verwijderen. Bij LEARN more krijg je een korte uitleg over wat 
rootkits zijn en hoe je jezelf ertegen kan beschermen. Uiteraard met 
de producten van Grisoft, dus je krijgt ook een link naar hun online 
winkel. Bij Agour & Uppare kan je kijken welke versie van AVG Anti-Root- 
kit je hebt geïnstalleerd (zie afbeelding 3a). Met een druk op de knop 
CHECK FOR NEW VERSION kan je kijken of er al dan niet updates beschikbaar 
zijn. In dit tabblad krijg je ook een uitleg voor de vreemde tekens die 
je in je Start-balk te zien krijgt (zie afbeelding 3b). Het programma 
genereert immers elke keer een andere titel om zichzelf uit de klauwen 
van rootkits te houden. 


EE AVG Ant-Rootkdt ro „al In dit tabblad kan je zien met 
welke versie van AVG Anti- 
Soarch for rootkas Leam more About & Update lr 
Rootkit je werkt. Je kan ook 
About AVG Anti-Rootkit 


meteen nagaan of er updates 


Installed version: 1.1.042 7 Stay current for best 


gur fendbeck & comments 


AVG Anti-Rootkit intentionally uses a random 
window thle to defend Iself agalnst rootkits, This 


be normal behaviour and not an error. 


le free of charge and comes 


Thus free tool is ble 
wethout warranty of any kind 


This tool may be weed according to the license 
agroemard oeily 


ek, detection! 


Is recommended to regdierly 
che hare is a new version of 
VG Anti-Rootkit available 


A browser wandow dire 
the update page wil be 
whan you click on the 
below 


you to 


Ga Check fer new version 


voorhanden zijn. 


© 2005 by GRISOFT. All rights reserved 


6MSmoLxho, 


Geen paniek als je dit in je Start-balk ziet: AVG Anti-Rootkit genereert de 
vreemde tekens om zelf niet ten prooi te vallen aan rootkits. 


STAP 4 / ROOTKITS OPSPOREN EN VERWIJDEREN 


Om rootkits op te sporen, moet je logischerwijs in het tabblad Searcn 
FOR ROOTKITS Zijn. Onderaan zie je twee knoppen: SEARCH FOR ROOTKITS en 
PERFORM IN-DEPTH SEARCH. Met de eerste gaat AVG Anti-Rootkit op zoek naar 
indringers op je systeemschijf, terwijl je met de tweede knop kan kiezen 
op welke schijven en partities het tooltje moet gaan zoeken (zie af- 
beelding 4). Die zoektocht kan wel even duren, omdat het pakketje echt 
overal gaat kijken. Normaal gezien — hopelijk — worden er geen rootkits 
gevonden. Is dat toch het geval, dan zie je in de tabel boven de knop- 
pen met wat voor rootkit je te maken hebt en waar hij zich verstopt 
heeft. Met een druk op Remove sELECTED ITEMS maak je korte metten met 
de indringer. « 


8E AVG Anti-Rootkit Free 


Please select the drives which should be scanned 


El «ee Winke (1) ® Scan 
[Y] se BACKUP (D:\) nm 


Xx Cancel 


Je kan geen individuele mappen aanwijzen, maar aangezien rootkits hun 
locatie onzichtbaar maken is dat maar logisch ook. 
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